JDBC(三)—PreparedStatement和Statement的区别和使用(动力节点杜老师)

于 2022-03-10 16:10:13 发布
阅读量747 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GDFHGFHGFH/article/details/123403041
版权
PreparedStatement相比Statement更安全,能防止SQL注入,因为它使用占位符而非直接拼接字符串。预编译的SQL语句在数据库中只编译一次,多次执行时提高效率并进行类型检查。Statement适用于处理动态SQL,如动态表名、列名或排序方式,但易受SQL注入攻击。
摘要由CSDN通过智能技术生成

背景

学习与反思

异同

  • PreparedStatement和Statement都是JDBC中执行sql的对象,他们都可以执行sql语句,但是后者会给一些人创建出sql注入的条件,而前者不会。
  • prepareStatement :不存在sql注入;效率略高,编译一次,执行多次;在传值后编译时存在类型安全检查。(原理:当历史(预)编译sql语句完全一样时,sql跳过编译,直接执行)
  • statement :存在sql注入问题;编译一次,执行一次

本质

  • 第一步:假如这里使用Statement
String sql2 = ("select * from t_user where LoginName = '"+loginName+"' and LoginPasswd = '"+loginPasswd+"' ");
resultSet = statement.executeQuery(sql2);

Statement采用的是直接拼接的方式,假如说这里的loginName传入的值是aaa,loginPasswd传入的是aaa’ or ‘1’='1,那么sql就变成了

select * from t_user where LoginName ='aaa' and LoginPasswd ='aaa' or '1'='1'

紧接着就被sql执行对象statement带着sql进入数据库进行编译,查询,这样就变成了恒成立,所有的数据都可以查出来,这也就造成了sql注入;所以使用Statement会造成sql注入的本质是:非法sql参数值进入到DBMS(数据库管理系统)参与了sql语句的编译过程,sql参数值中含有的关键字将‘非法字符’拼接到DBMS的编译,改变了sql原来的意思。

  • 第二步:假如这里使用PreparedStatement
   // 创建sql,获取预编译的数据库操作对象
               //sql语句的框架,一个?代表一个占位符,一个?将来接受一个值,
               //占位符不能够用单引号宝齐莱,不然会被人认为是个普通的参数值
            String sql = ("select * from t_user where LoginName = ? and LoginPasswd = ? ");
            //此处sql已经预编译了一次,在进去DBMS执行的时候已经不会再编译了
            prepareStatement = connection.prepareStatement(sql);
//            开始对占位符‘ ?’进行赋值,占位符会根据你选择的类型和填充的数据进行赋值,是setString(),就自动给参数加 '',是setInt()就是数字类型,不会加'',
            //这样一来假如说 传入的是  aaa' or '1'='1  那么就会被当做字符串,一个整体    到sql语句中就是' aaa' or '1'='1 ',是一个整体的值,而不是分开的部分
            prepareStatement.setString(1,loginName);//第一个占位符下标1,放昵称
            prepareStatement.setString(2,loginPasswd);//第二个占位符下标2,放密码
            **//  resultSet = prepareStatement.executeQuery(sql);//此处(sql)应无参,否则sql将再次参与DBMS的编译过程**
            resultSet = prepareStatement.executeQuery();

那么在这里每一个?代表是一个占位符,代表一个值,这样一来假如说 传入的密码是 aaa’ or ‘1’='1 那么就会被当做字符串,传参必须调用setString()方法,在两边各加一个单引号,一个整体 到sql语句中就是**’ aaa’ or ‘1’='1 ',**是一个整体的值,而不是分开的部分。同理还有setInt(),setDouble()等等,最后一句很重要,这里必须是无参,如果在这里又把sql传进去,那么还是会进入数据库参与编译,导致sql注入。

 resultSet = prepareStatement.executeQuery();

Statement的用处

  • 动态的表
    如select * from 表,这个表是动态的,表名肯定是字符串,如果使用PrepareStatement,传入A变成
select * from 'A';

这样肯定是报错的

  • 动态的列
    与上面是同理
  • 动态的排序
    传入asc,desc,也会有这样的问题
    所以此时就需要Statement来帮助我们,正所谓天生我才必有用!
你是理想
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdbcPreparedStatementStatement
qq_42902470的博客
01-09 1520
1.PreparedStatement原理 Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。 某些情况下,SQL语句只是其的参数有所不同,其余子句完全相同,适合使用PreparedStatement PreparedStatement的另外一个重要好处就是预防sql注入攻击。 PreparedStat...
JDBC preparedStatementStatement区别
热门推荐
发呆的程序猿
05-16 4万+
一、概念PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement种方式来执行查询语句,其 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStateme
JDBC:深入理解PreparedStatementStatement
Marvel__Dead 胡艺宝的博客
04-07 2万+
前言最近听一个老师讲了公开课,在其讲到了PreparedStatement的执行原理和Statement区别。当时听公开课老师讲的时候感觉以前就只知道PreparedStatement是“预编译类”,能够对sql语句进行预编译,预编译后能够提高数据库sql语句执行效率。但是,听了那个老师讲后我就突然很想问自己,预编译??是谁对sql语句的预编译??是数据库?还是PreparedStatement
JDBCStatement与PreparedStatement
zsxfa的博客
02-03 292
在 java.sql有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatementSQL 语句被预编译并存储在此对象,可以使用对象多次高效地执行该语句。 CallableStatement:用于执行 SQL 存储过程 使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返
JDBCStatement 和 PreparedStatement区别
weixin_43808717的博客
10-06 336
1. 概念 Java提供了种用来执行SQL查询语句的API;Statement、PreparedStatement 和 CallableStatement。其 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。 Statement继承自Wrapper,一般用于普通的不带参的SQL语句。Statement是不安全的,容易产生SQL注入式攻击。简单理解就是正常的一个SQL语句添加了一个恶意的SQL语句,
JDBCStatement和Preparement的使用讲解
08-26
JDBC Statement 和 PrepareStatement使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
javaPreparedStatementStatement详细讲解
08-25
Java 的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
34.jdbcpreparedStatementStatement的好处.avi
03-07
jdbcpreparedStatementStatement的好处
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
09-09
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity),与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
JDBCstatement和preparedStatement
qq_44942083的博客
10-22 144
statement java.sql.Statement 接口,是专门用来执行sql语句的,该接口还有俩个子接口: java.sql.PreparedStatement java.sql.CallableStatement 它们的关系如下: CallableStatement 接口继承了 PreparedStatement 接口 PreparedStatement 接口又继承了 Statement 接口 PreparedStatement PreparedStatement 接口,简称PS,它除
JDBCStatement和PreparedStatement的总结
weixin_43961117的博客
10-23 511
JDBCStatement和PreparedStatement Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 Statement可以正常访问数据库,适用于运行静态 SQL 语句。 Statement 接口不接受参数。 PreparedStatement计划多次使用 SQL 语句, Prepared
JDBC: PreparedStatementStatement区别
JH灰色的博客
12-01 254
文章目录1.JDBC设计用户登录2.PreparedStatement和Statemen区别3.PreparedStatement数据库进行insert、delete、update操作 PreparedStatement注意: (1)sql语句要给占位符?传值(第1个问号下标是1,第2个问号下标是2,JDBC所有下标从1开始。) (2)PreparedStatementStatement的第四...
JDBC学习——PreparedStatementStatement区别
qq_43411550的博客
07-19 157
JDBC学习——PreparedStatementStatement
数据库JDBC——PreparedStatementStatement区别使用
会者定离,一期一祈
11-24 637
文章目录PreparedStatementStatement区别一、PreparedStatement的批量操作二、StatementSQL注入演示1.登录界面2.后台代码示例总结注 PreparedStatementStatement区别 PreparedStatement对象: 预编译的 SQL 语句对象,只编译一次, 支持批量处理,可将SQL语句装载到一起,然后一次送到数据库执行,效率极高 (addBatch()方法) 可绝防止SQL注入问题 注意:如果是一次性操作(增删改查.
JDBCStatement和PreparedStatement区别
hgfujffg的博客
11-09 170
JDBCStatement和PreparedStatement区别
Java连接MySql,以及Statement,PreparedStatement,ResultSet 用法和区别
清泉影月
09-29 1561
前言: java开发过程经常需要和 MySql 打交道,本文把常用的 Statement,PreparedStatement,ResultSet 的用法都梳理一遍 1.首先声明一下依赖 <dependency> <groupId>mysql</groupId> &a
PreparedStatementStatement区别
最新发布
03-23
PreparedStatementStatement是Java用于执行SQL语句的两种接口,们之间有以下区别: 1. 预编译:PreparedStatement在执行之前会进行预编译,将SQL语句编译成可执行的二进制代码,而Statement则是在执行时才进行编译。这意味着PreparedStatement的执行速度更快,因为它只需要编译一次,而Statement每次执行都需要编译。 2. 参数绑定:PreparedStatement支持参数绑定,可以使用占位符(?)来代替具体的参数值,然后通过set方法将参数值传递给PreparedStatement对象。这样可以提高代码的安全性和可读性,并且可以避免SQL注入攻击。而Statement需要手动拼接SQL语句,容易出错且不安全。 3. 可读性和维护性:由于PreparedStatement使用占位符和参数绑定,使得SQL语句更加清晰和易于维护。而Statement需要手动拼接SQL语句,容易出现拼写错误和难以维护。 4. 执行效率:由于PreparedStatement在执行之前已经进行了预编译,所以在多次执行相同的SQL语句时,PreparedStatement的执行效率更高。而Statement每次执行都需要进行编译,效率较低。 总结一下: PreparedStatementStatement更安全、更高效、更易于维护。在需要执行多次相同或类似的SQL语句时,使用PreparedStatement可以提高性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值